Ab pd-admin 4.55 wird nun auch Let’s Encrypt unterstützt. pd-admin liefert dafür auch die entsprechenden binaries mit. Damit lassen sich für Domains einfach Zertifikate erzeugen und automatisiert verlängern. Bei Nutzung von pd-admin < 4.56 wird empfohlen die aktuelle Beta herunter zu laden und zu installieren.
Installation / Update von pd-admin
Wenn Ihr pd-admin < 4.56 installiert habt, geht Ihr wie folgt vor:
# wget http://download.pd-admin.de/pdadmin_v4_beta.tar.gz
Ansonsten kann die reguläre Version verwendet werden. Dies ist zum Zeitpunkt der Veröffentlichung noch 4.55, daher sollte die Beta genommen werden:
# wget http://pd-admin.de/download/pdadmin_v4.tar.gz
# tar xzf pdadmin_v4.tar.gz
# cd pdadmin
# ./update.sh
Bei einer Neuinstallation wird stattdessen
# ./install-all
ausgeführt. Beachtet dazu auch die offizielle Installationsanleitung oder auch meine Anleitung für CentOS 7.
Ist das Update bzw. die Installation abgeschlossen finden sich nun unter /opt/pdadmin/bin/ die binaries certbot-auto und letsencrypt.
Aktivierung in Serverkonfiguration und Angebot
Damit für eine Domain ein Zertifikat erzeugt wird, müssen zwei Bedingungen erfüllt sein.
- In der Serverkonfiguration muss Let’s Encrypt eingeschaltet sein. Zu finden unter Einstellungen -> Serverkonfiguration
- Im Angebot des Endkunden muss Let’s Encrypt aktiviert sein. Dies kann entweder unter Angebote oder bei Endkunden -> Übersicht -> Verwalten -> Angebot individualisieren aktiviert werden.
Die binaries
letsencrypt
Mit der binary letsencrypt kann man für einzelne oder alle Domains Zertifikate erzeugen lassen. Einzelne Zertifikate werden wie folgt erzeugt:
# /opt/pdadmin/bin/letsencrypt <subdomain>
Man hat auch die Möglichkeit für sämtliche in pd-admin angelegten Domains Zertifikate zu erzeugen. Dies geht mit
# /opt/pdadmin/bin/letsencrypt --all
Wichtig: Sind bereits Zertifikate für eine Domain angelegt, wird kein Zertifikat erzeugt. Auch nicht wenn das Zertifikat bereits ausgelaufen sein sollte. Das Zertifikat muss vorher über das Backend entfernt werden.
certbot-auto
Die certbot-auto binary ist eigentlich verantwortlich für die Erzeugung und Verlängerung von Zertifikaten. Die genaue Verwendung des certbots kann in der offiziellen Dokumentation nachgeschaut werden. Wichtig sind erst einmal nur
# /opt/pdadmin/bin/certbot-auto renew
Damit werden vorhandene Zertifikate erneuert. Die Konfigurationsdateien finden sich unter /etc/letsencrypt/ .
Einrichtung der Cronjobs
Damit wird die Erzeugung und Verlängerung von Zertifikaten automatisiert. Dazu öffnet man als Nutzer root den crontab mit
# crontab -e
und fügt folgende zwei Zeilen ein:
35 2 * * * /opt/pdadmin/bin/letsencrypt --all 40 3 * * 1 /opt/pdadmin/bin/certbot-auto renew
Die Ausführungszeiten können natürlich angepasst werden. letsencryp sollte täglich ausgeführt werden, certbot-auto wöchtentlich.
Vielen Dank für diese ausführlichen Informationen!